Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2016-0857 [1.00]

Kwetsbaarheden verholpen in Xerox WorkCentre

26-09-2016 - Er zijn kwetsbaarheden gevonden in Xerox WorkCentre. Xerox heeft updates uitgebracht om de kwetsbaarheden te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Xerox WorkCentre
Advisory ID     : NCSC-2016-0857
Versie          : 1.00
Kans            : medium
CVE ID          : CVE2015-3963
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Omzeilen van beveiligingsmaatregel
                  Spoofing
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20160926
Toepassing      : Xerox WorkCentre 4260
Versie(s)       : < 30.106.00.000
Platform(s)     : 

Samenvatting
   Er zijn kwetsbaarheden gevonden in Xerox WorkCentre. Xerox heeft
   updates uitgebracht om de kwetsbaarheden te verhelpen.

Gevolgen
   Een aanvaller kan de kwetsbaarheden misbruiken om mogelijk gevoelige
   gegevens te bemachtigen of om een Denial-of-Service uit te voeren.

Beschrijving
   - CVE-2014-3566
   Er is een aanvalstechniek ontdekt die POODLE (Padding Oracle On
   Downgraded Legacy Encryption) heet. Hierdoor is SSL 3.0 in de
   huidige vorm niet als veilig te beschouwen. Nieuwere clients en
   servers die SSL 3.0 ondersteunen zijn ook kwetsbaar, omdat ze
   vatbaar zijn voor een ‘protocol downgrade attack’. Bij een protocol
   downgrade attack dwingt een aanvaller met toegang tot het netwerk
   tussen client en server het gebruik van een oudere protocolversie
   af.
   
   - CVE-2015-0204
   De OpenSSL client accepteert het gebruik van een tijdelijke RSA key
   binnen een non-export RSA key exchange ciphersuite. Een
   kwaadwillende kan de kwetsbaarheid misbruiken door een server een
   zwakke tijdelijke RSA key te laten aanbieden, om daarmee de
   versleutelde verbinding minder veilig te maken.
   
   - CVE 2015-3963
   Als gevolg van een kwetsbaarheid in de TCP-implementatie in VxWorks
   is het mogelijk om de status van TCP-communicatie te voorspellen en
   als gevolg spoofing uit te voeren of een Denial-of-Service te
   veroorzaken. 
   
   - CVE-2015-4000
   Indien een kwaadwillende in staat is om de initiële handshake van
   een TLS-verbinding te manipuleren, bijvoorbeeld door een
   Man-in-the-Middle aanval, dan kan de kwaadwillende mogelijk een
   zwakkere ciphersuite (DHE_EXPORT) forceren voor een TLS-verbinding.
      
   De DHE_EXPORT ciphersuite kan bij bepaalde bitlengtes, mits de
   kwaadwillende over genoeg rekenkracht beschikt, gebroken worden
   waardoor de kwaadwillende toegang zou kunnen krijgen tot gevoelige
   informatie.

Mogelijke oplossingen
   Xerox heeft updates uitgebracht om de kwetsbaarheden in Xerox
   WorkCentre 4260 te verhelpen. U kunt de updates downloaden vanaf de
   website van Xerox. Voor meer informatie, zie:
   
   http://rss.xerox.com/~r/security-bulletins/~5/eNKp1dS2f7U
      /cert_Security_Mini-_Bulletin_XRX16Z_for_WC4260_v1-0.pdf

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=4FGX
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017